GoldBrute僵尸网络黑掉150万RDP服务器

作者:   深圳市网安计算机安全检测技术有限公司 2019/06/10 10:51:40 200次阅读 国际
文章来源:https://www.4hou.com/web/18456.html

        研究人员发现一个正在不断扩展的僵尸网络——GoldBrute,该僵尸网络扫描网络以寻找启用了RDP连接且未进行合理保护的Windows机器,目前已感染了超过150万RDP服务器。

GoldBrute僵尸网络黑掉150万RDP服务器

        对Shodan搜索引擎的研究发现有超过240万机器是可以通过网络访问的,并且启用了RDP协议。

暴力破解伪装成单一攻击

        Morphus实验室的Renato Marinho对GoldBrute的暴力破解组件进行了分析,该组件在持续扫描web并将潜在攻击目标加入到列表中。

        Marinho称释放的信息并不能完全代表攻击RDP服务器的最终目的。因为没有驻留机制,可能是攻击者正在收集信息并准备以access-as-a-service或在黑市或暗网出售。

        研究人员分析发现只使用了一个IP地址为104.156.]249.231的C2服务器,根据IP地址判断位于美国新泽西州。

GoldBrute僵尸网络黑掉150万RDP服务器

攻击链

        僵尸网络暴力破解RDP连接,并获取未合理保护的Windows系统访问权限。

        下载含有GoldBrute Java和Java runtime代码的zip包。僵尸代码有80MB大小,因为其中包含有完整的Java Runtime环境。其中有一个Java类叫做GoldBrute,含有僵尸主机代码。

        僵尸主机开始扫描网络上可以进行暴力破解的RDP服务器,并发送其IP地址到C2,C2会发回一些要进行暴力破解的IP地址列表。GoldBrute感染的系统首先扫描暴露了RDP服务器的web网络,然后通过加密的WebSocket连接的形式发送给C2服务器,使用的端口为8333,该端口主要被用于比特币连接。

        在发送地址为80个受害者后,C2会选择一些目标并进行暴露破解。有趣的是,僵尸主机对每个目标只测试一个用户名和密码对。这可能也是为了隐藏暴力破解攻击,因为受害者可能会看到来自多个IP地址的登陆请求。

GoldBrute僵尸网络黑掉150万RDP服务器

 

        成功认证后会触发GodlBrute代码和Java runtime下载,都是打包在zip文件中的。解压后,会运行名为bitcoin.dll的jar文件。Dll扩展的目的是为了进行伪装以欺骗部分用户,但是研究人员认为比特币的部分要比jar扩展引发更多的关注。

扫描、暴力破解、感染、重复

        GoldBrute僵尸主机获取不同的host + username + password的组合。僵尸主机也会马上工作并搜索暴露的RDP服务器。在暴露破解过程中,僵尸主机会获取不同的主机IP地址、用户名和密码的组合来进行尝试。在分析GoldBrute的过程中,研究人员能够修改代码来保存所有的host+username+password组合。

        僵尸主机执行暴力破解攻击并将结果报告给C2服务器。6小时后,研究人员一共从C2服务器收到210万IP地址,其中1696571个IP地址是唯一的。研究人员并没有进行暴力破解的测试。

        受感染的系统遍布全球,具体如下图所示:

GoldBrute僵尸网络黑掉150万RDP服务器

        最近,攻击者对RDP服务器的兴趣大大增加了。其中以BlueKeep为代表衍生出了许多RDP相关的漏洞和安全问题。

        总的来说,GoldBrute僵尸网络的攻击方法并不新颖,但其运行暴力破解的方式比较独特,可以更加静默地执行,而且还没有加入驻留。

        研究人员分析认为可暴力破解的RDP目标的数量还在不断增加,因此僵尸网络的规模也在不断扩大。

本文翻译自:https://www.bleepingcomputer.com/news/security/new-goldbrute-botnet-is-trying-to-hack-15-million-rdp-servers/如若转载,请注明原文地址: https://www.4hou.com/web/18456.html


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室